Video: Los malware más devastadores en toda la historia #TopUnocero (Noviembre 2024)
Los investigadores encontraron que miles de usuarios que visitaron el sitio web de Yahoo durante la semana pasada se infectaron con malware. El malware se entregó a través de correos maliciosos que aparecieron en el sitio.
Yahoo confirmó la infección, pero dijo que ya se ha eliminado. "En Yahoo, nos tomamos muy en serio la seguridad y la privacidad de nuestros usuarios. Desde el 31 de diciembre hasta el 3 de enero en nuestros sitios europeos, servimos a algunos correos electrónicos que no cumplían con nuestras pautas editoriales, específicamente, propagaron malware. El 3 de enero, eliminó estos correos electrónicos de nuestros sitios europeos. Los usuarios de América del Norte, Asia Pacífico y América Latina no recibieron estos correos electrónicos y no se vieron afectados. Además, los usuarios que usan Mac y dispositivos móviles no se vieron afectados ", dijo la compañía en un correo electrónico. Nota del editor: Yahoo actualizó esta declaración el lunes.
Los atacantes habían insertado anuncios malignos, o mensajes maliciosos, en los servidores utilizados por ads.yahoo.com, escribió Fox-IT, una firma de seguridad holandesa, en una publicación de blog el sábado. Estos anuncios redirigen a los usuarios a una página que aloja el kit de explotación "Magnitud", que se dirige a varias vulnerabilidades de Java. El kit de exploits instaló "una gran cantidad de malware diferente" en computadoras vulnerables, como el troyano Zeus, Andromeda, Dorkbot / Ngrbot, malware para hacer clic en anuncios, Tinba / Zusy y Necurs, dijo Fox-IT. Los investigadores creen que los servidores han estado mostrando malvertisements desde el 30 de diciembre, pero no descartaron la posibilidad de que los ataques ocurrieran incluso antes.
La infección también ha sido confirmada en Twitter por Mark Loman, un analista de malware holandés con el equipo antivirus Surfright.
"No está claro qué grupo específico está detrás de este ataque, pero los atacantes están claramente motivados financieramente", dijo Fox IT. Los atacantes pueden estar vendiendo la capacidad de controlar estas máquinas infectadas a otros ciberdelincuentes, tal vez como parte de una red de bots.
Ataque sigiloso
Los malvertiserments son especialmente engañosos porque los usuarios se infectan simplemente cargando un sitio web. Los usuarios no necesitan hacer nada, como hacer clic en un enlace, para infectarse. Estos anuncios maliciosos han aparecido en sitios legítimos en los últimos años. En 2011, los usuarios de Spotify fueron golpeados por anuncios maliciosos publicados por una red de publicidad de terceros, al igual que los visitantes del sitio web de la Bolsa de Londres. De hecho, los usuarios tienen 182 veces más probabilidades de infectarse con malware de estos anuncios que de los sitios de contenido para adultos, descubrió Cisco en una encuesta el año pasado.
"Atrás quedaron los días en que había que navegar por las áreas sombreadas de la red para tropezar con algo malicioso", escribió Graham Cluley, un investigador de seguridad.
El viernes, el malware se entregó a aproximadamente 300, 000 usuarios por hora, lo que significaría que alrededor de 27, 000 usuarios por hora realmente estaban infectados, estimó Fox-IT. Los países con el mayor número de usuarios afectados fueron Rumania, el Reino Unido y Francia.
Si bien el informe de Fox-IT se centró en Yahoo, Graham Cluley señaló que los usuarios que visitaron otros sitios utilizando la red publicitaria de Yahoo también pueden haberse visto afectados.
Servidor pirateado, ¿anuncio complicado?
No se sabe en este momento cómo los anuncios maliciosos llegaron a la red publicitaria. Si bien es posible que los atacantes hayan comprometido el servidor de anuncios para cargar los archivos maliciosos, también es posible que los atacantes envíen el anuncio de la manera normal y engañen a Yahoo para que piense que es un anuncio ordinario. Eso no necesariamente significa que Yahoo no estaba haciendo su trabajo: el anuncio enviado podría haber sido inofensivo. Los atacantes podrían haber cambiado el código después de que el anuncio fue aceptado.
Dado que las malversiones son difíciles de defender, es aún más importante que los usuarios ejecuten software actualizado en sus computadoras y mantengan actualizado su software de seguridad. El kit de exploits también apuntó a Java. Los usuarios deben desinstalar Java, deshabilitarlo completamente en el navegador o tomar otras medidas para protegerse de los ataques contra Java.
"Si necesitabas otro motivo para desactivar Java en el navegador de tu computadora, entonces ahí lo tienes", dijo Cluley.
